• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

06-WLAN接入配置指导

目录

01-WLAN接入配置

本章节下载 01-WLAN接入配置  (697.50 KB)

01-WLAN接入配置

  录

1 WLAN接入

1.1 WLAN接入简介

1.1.1 WLAN接入过程

1.1.2 无线扫描

1.1.3 关联

1.2 WLAN客户端接入控制

1.2.1 基于AP组的接入控制

1.2.2 基于SSID的接入控制

1.2.3 基于名单的接入控制

1.2.4 基于ACL的接入控制

1.3 WLAN接入配置限制和指导

1.4 WLAN接入配置任务简介

1.5 配置区域码

1.5.1 配置AP的区域码

1.5.2 配置Beacon帧和Probe Response帧携带区域码功能

1.6 配置无线服务模板

1.6.1 创建无线服务模板

1.6.2 配置描述信息

1.6.3 配置SSID

1.6.4 配置无线服务模板允许关联的最大客户端数目

1.6.5 使能无线服务模板

1.6.6 绑定无线服务模板

1.6.7 配置AP不继承AP组下绑定的指定无线服务模板

1.7 配置客户端数据转发功能

1.7.1 配置客户端数据报文转发位置

1.7.2 开启客户端数据报文转发功能

1.7.3 配置客户端数据报文在CAPWAP隧道中的封装格式

1.7.4 配置对未知客户端数据报文处理方式

1.8 配置客户端管理功能

1.8.1 配置客户端关联位置

1.8.2 开启快速关联功能

1.8.3 配置接收客户端信息的Web服务器信息

1.8.4 配置客户端上线日志的格式

1.8.5 配置客户端的VLAN分配方式

1.8.6 配置客户端优先使用授权VLAN

1.8.7 关闭仅本地认证无线客户端信息上报成功才允许客户端上线功能

1.8.8 配置客户端Cache老化时间

1.8.9 配置客户端二次接入认证的时间间隔

1.8.10 配置无线客户端区别计费功能

1.8.11 开启网络侧设备的漫游增强功能

1.8.12 开启无线客户端智能接入功能

1.9 配置客户端维护功能

1.9.1 配置客户端空闲时间

1.9.2 配置客户端保活功能

1.9.3 对客户端进行无线链路质量测量

1.9.4 配置AP上报无线客户端统计信息功能

1.9.5 配置AP上报无线客户端智能运维统计信息功能

1.9.6 配置网络接入服务器标识

1.9.7 配置NAS-Port-Type

1.9.8 配置客户端关联AP的优化参数值

1.9.9 配置iMC服务器的IP地址和端口号

1.10 配置VIP客户端功能

1.10.1 配置VIP客户端监控功能

1.10.2 开启非VIP客户端限速功能

1.11 配置无线转发策略

1.11.1 配置限制和指导

1.11.2 配置准备

1.11.3 创建无线转发策略

1.11.4 开启本地转发模式下的外网流量转发功能

1.11.5 在无线服务模板下应用无线转发策略

1.11.6 在User Profile下应用无线转发策略

1.12 配置客户端接入控制功能

1.12.1 配置允许用户接入的AP组

1.12.2 配置允许用户接入的SSID名称

1.12.3 配置白名单

1.12.4 配置静态黑名单

1.12.5 配置动态黑名单

1.12.6 配置基于ACL的接入控制

1.13 配置AP不回应客户端广播Probe request报文

1.14 开启告警功能

1.15 WLAN接入显示和维护

1.16 WLAN接入典型配置举例

1.16.1 WLAN接入配置举例

1.16.2 白名单配置举例

1.16.3 静态黑名单配置举例

1.16.4 ACL接入控制配置举例

 


1 WLAN接入

1.1  WLAN接入简介

WLAN接入为用户提供接入网络的服务。无线服务的骨干网通常使用有线电缆作为线路连接安置在固定网络,接入点设备安置在需要覆盖无线网络的区域,用户在该区域内可以通过无线接入的方式接入无线网络。

1.1.1  WLAN接入过程

客户端首先需要通过主动/被动扫描方式发现周围的无线网络,再通过链路层认证、关联和用户接入认证三个过程后,才能和AP建立连接,最终接入无线服务。整个过程如图1-1所示。有关链路层认证、用户接入认证的详细介绍及相关配置请参见“WLAN安全指导”中的“WLAN用户安全”和“用户接入与认证”中的“WLAN用户接入认证”。

图1-1 建立无线连接过程

 

1.1.2  无线扫描

客户端在实际工作过程中,通常同时使用主动扫描和被动扫描获取周围的无线网络信息。

1. 主动扫描

主动扫描是指客户端在工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。客户端在扫描的时候,会主动广播Probe Request帧(探测请求帧),通过收到Probe Response帧(探测响应帧)获取无线网络信息。根据Probe Request帧是否携带SSID(Service Set Identifier,服务集标识符),可以将主动扫描分为两种:

·              客户端发送Probe Request帧(Probe Request中SSID为空,也就是SSID这个信息元素的长度为0):客户端会定期地在其支持的信道列表中,发送Probe Request帧扫描无线网络。当AP收到Probe Request帧后,会回复Probe Response帧通告可以提供服务的无线网络信息。客户端通过主动扫描,可以主动获知可使用的无线服务,之后客户端可以根据需要选择适当的无线网络接入。客户端主动扫描方式的过程如图1-2所示。

图1-2 主动扫描过程(Probe Request中SSID为空,也就是不携带任何SSID信息)

 

·              客户端发送Probe Request帧(携带指定的SSID):在客户端上配置了希望连接的无线网络或者客户端已经成功连接到一个无线网络的情况下,客户端会定期发送Probe Request帧(携带已经配置或者已经连接的无线网络的SSID),能够提供指定SSID无线服务的AP接收到Probe Request帧后,会回复Probe Response帧。通过这种方法,客户端可以主动扫描指定的无线网络。这种客户端主动扫描方式的过程如图1-3所示。

图1-3 主动扫描过程(Probe Request携带指定为“APPLE”的SSID)

 

2. 被动扫描

被动扫描是指客户端通过侦听AP定期发送的Beacon帧(信标帧)发现周围的无线网络。提供无线服务的AP设备都会周期性地广播发送Beacon帧,所以客户端可以定期在支持的信道列表监听Beacon帧获取周围的无线网络信息,从而接入AP。当客户端需要节省电量时,可以使用被动扫描。被动扫描的过程如图1-4所示。

图1-4 被动扫描过程

 

1.1.3  关联

当客户端通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送Association Request帧(关联请求帧),AP会对Association Request帧携带的能力信息进行检测,最终确定该客户端支持的能力,并回复Association Response帧(关联响应帧)通知客户端链路是否关联成功。

1.2  WLAN客户端接入控制

WLAN接入控制的主要目的为对用户接入网络和访问网络进行控制,WLAN接入控制的方式有以下几种:

·              基于AP组的接入控制。

·              基于SSID的接入控制。

·              基于名单的接入控制。

·              基于ACL的接入控制。

1.2.1  基于AP组的接入控制

图1-5所示,无线网络中有3个AP,要求Client 1和Client 2只能通过AP 1或AP 2接入网络,Client 3只能通过AP 3接入网络。为实现上述要求,将AP 1和AP 2添加进AP组1中,AP 3添加进AP组2中。AC上配置Client 1和Client 2对应的User Profile指定允许接入的AP组为AP组1,Client 3对应的User Profile指定允许接入的AP组为AP组2。当Client 1、Client 2和Client 3准备接入网络并通过身份认证后,认证服务器会将与用户账户绑定的User Profile名称下发给AC,AC根据指定User Profile里配置的内容查看客户端关联的AP是否在允许接入的AP组中,如果客户端关联的AP在允许接入的AP组中,客户端成功上线,否则上线失败。

图1-5 基于AP组的接入控制组网应用

 

1.2.2  基于SSID的接入控制

图1-6所示,无线网络中有3个AP,要求Client 1和Client 2只能接入的SSID名称为ssida的无线服务,Client 3只能接入的SSID名称为ssidb的无线服务。为实现上述要求,AC上配置Client 1和Client 2对应的User Profile指定允许接入的SSID名称为ssida,Client 3对应的User Profile指定允许接入的SSID名称为ssidb。当Client 1、Client 2和Client 3准备接入网络并通过身份认证后,认证服务器会将与用户账户绑定的User Profile名称下发给AC,AC根据指定User Profile里配置的内容查看客户端关联的SSID是否为允许接入的SSID,如果客户端关联的SSID为指定允许接入的SSID,客户端成功上线,否则上线失败。

图1-6 基于SSID的接入控制组网应用

 

1.2.3  基于名单的接入控制

无线网络很容易受到各种网络威胁的影响,非法设备对于无线网络来说是一个很严重的威胁,因此需要对客户端的接入进行控制。通过黑名单和白名单功能来过滤客户端,对客户端进行控制,防止非法客户端接入无线网络,可以有效的保护企业网络不被非法设备访问,从而保证无线网络的安全。

1. 白名单

白名单定义了允许接入无线网络的客户端MAC地址表项,不在白名单中的客户端不允许接入。白名单表项只能手工添加和删除。

2. 黑名单

黑名单定义了禁止接入无线网络的客户端MAC地址表项,在黑名单中的客户端不允许接入。黑名单分为静态黑名单和动态黑名单,以下分别介绍。

·              静态黑名单

静态添加、删除表项的黑名单称为静态黑名单,当无线网络明确拒绝某些客户端接入时,可以将这些客户端加入静态黑名单。

·              动态黑名单

动态添加、删除表项的黑名单称为动态黑名单。在配置了对非法设备进行反制、无线客户端二次接入认证等场景下,设备会将明确拒绝接入的客户端MAC地址加入到动态黑名单,当动态黑名单表项到达老化超时时间后,删除该表项。基于AC生效的动态黑名单会对所有与AC相连的AP生效,基于AP生效的动态黑名单仅对客户端接入的AP生效。有关反制功能的详细介绍,请参见“WLAN安全配置指导”中的“WIPS”。

3. 客户端过滤机制

当收到客户端关联请求报文或AP向AC发送的Add mobile报文时,无线设备将使用白名单和黑名单对客户端的MAC地址进行过滤。以图1-7为例,具体的过滤机制如下:

(1)      当AC上存在白名单时,AC将判断Client 1的MAC地址是否在白名单中,如果在白名单中,则允许客户端从任意一个AP接入无线网络,如果Client 1不在白名单中,则拒绝Client 1从任何一个AP接入。

(2)      当AC上不存在白名单时,AC则判断Client 1的MAC地址是否在静态黑名单中,若Client 1在静态黑名单中则拒绝Client 1从任何一个AP接入无线网络。

(3)      当AC上不存在白名单且Client 1的MAC地址不在静态黑名单中时,为Client 1配置了二次接入认证时间间隔或者AP收到Client 1的攻击报文:如果配置了动态黑名单基于AP生效,则AC会将Client 1的MAC地址添加到动态黑名单中,并仅拒绝Client 1从AP 1上接入无线网络,但仍允许Client 1从AP 2或AP 3接入无线网络;如果配置了动态黑名单基于AC生效,则拒绝Client 1从任何一个AP接入无线网络。

图1-7 客户端过滤机制组网图

 

1.2.4  基于ACL的接入控制

基于ACL的接入控制是指,设备根据指定ACL中配置的规则对新接入的无线客户端进行接入控制。

当无线客户端接入无线网络时,设备通过判断无线客户端MAC地址与指定的ACL规则的匹配情况对客户端进行过滤,具体的过滤机制如下:

·              如果匹配上某permit规则,则允许无线客户端接入无线网络;

·              如果匹配上某deny规则,则拒绝无线客户端接入无线网络;

·              如果未匹配上任何规则,则拒绝其接入。

1.3  WLAN接入配置限制和指导

在对AP进行配置时,可以采用如下方式:

·              针对单台AP,在AP视图下进行配置。

·              针对同一个AP组内的AP,在AP组视图下针对AP组进行配置。

·              在全局配置视图下针对所有AP进行全局配置。

对于一台AP,这些配置的生效优先级从高到低为:针对AP的配置、AP组中的配置、全局配置。

1.4  WLAN接入配置任务简介

WLAN接入配置任务如下:

(1)      (可选)配置区域码

¡  配置AP的区域码

¡  配置Beacon帧和Probe Response帧携带区域码功能

(2)      配置无线服务模板

¡  创建无线服务模板

¡  (可选)配置描述信息

¡  配置SSID

¡  (可选)配置无线服务模板允许关联的最大客户端数目

¡  使能无线服务模板

¡  绑定无线服务模板

¡  (可选)配置AP不继承AP组下绑定的指定无线服务模板

(3)      (可选)配置客户端数据转发功能

¡  配置客户端数据报文转发位置

¡  开启客户端数据报文转发功能

¡  配置客户端数据报文在CAPWAP隧道中的封装格式

¡  配置对未知客户端数据报文处理方式

(4)      (可选)配置客户端管理功能

¡  配置客户端关联位置

¡  开启快速关联功能

¡  配置接收客户端信息的Web服务器信息

¡  配置客户端上线日志的格式

¡  配置客户端的VLAN分配方式

¡  配置客户端优先使用授权VLAN

¡  关闭仅本地认证无线客户端信息上报成功才允许客户端上线功能

¡  配置客户端Cache老化时间

¡  配置客户端二次接入认证的时间间隔

¡  配置无线客户端区别计费功能

¡  开启网络侧设备的漫游增强功能

¡  开启无线客户端智能接入功能

(5)      (可选)配置客户端维护功能

¡  配置客户端空闲时间

¡  配置客户端保活功能

¡  对客户端进行无线链路质量测量

¡  配置AP上报无线客户端统计信息功能

¡  配置AP上报无线客户端智能运维统计信息功能

¡  配置网络接入服务器标识

¡  配置NAS-Port-Type

¡  配置客户端关联AP的优化参数值

¡  配置iMC服务器的IP地址和端口号

(6)      (可选)配置VIP客户端功能

¡  配置VIP客户端监控功能

¡  开启非VIP客户端限速功能

(7)      (可选)配置无线转发策略

(8)      (可选)配置客户端接入控制功能

¡  配置允许用户接入的AP组

¡  配置允许用户接入的SSID名称

¡  配置白名单

¡  配置静态黑名单

¡  配置动态黑名单

¡  配置基于ACL的接入控制

(9)      (可选)配置AP不回应客户端广播Probe request报文

(10)   (可选)开启告警功能

1.5  配置区域码

1.5.1  配置AP的区域码

1. 功能简介

区域码决定了射频可以使用的工作频段、信道、发射功率级别等。在配置WLAN设备时,必须正确地设置区域码,以确保不违反当地的管制规定。为了防止区域码的修改导致射频的工作频段、信道等与所在国家或地区的管制要求冲突,可以开启区域码锁定功能。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入AP视图、AP组视图、全局配置视图、AP预配置视图或AP组预配置视图。

¡  进入AP视图。

wlan ap ap-name

¡  进入AP组视图。

wlan ap-group group-name

¡  进入全局配置视图。

wlan global-configuration

¡  请依次执行以下命令进入AP预配置视图。

wlan ap ap-name

provision

¡  请依次执行以下命令进入AP组预配置视图。

wlan ap-group group-name

provision

(3)      配置区域码。

region-code code

缺省情况下:

AP视图:AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置。

AP组视图:继承全局配置。

全局配置视图:区域码为CN。

AP预配置视图:继承AP组预配置。

AP组预配置视图:未配置AP使用的区域码。

(4)      (可选)开启区域码锁定功能。

region-code-lock enable

缺省情况下:

AP视图:AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置。

AP组视图:继承全局配置。

全局配置视图:区域码锁定功能处于关闭状态。

1.5.2  配置Beacon帧和Probe Response帧携带区域码功能

1. 功能简介

环境标识主要用来标记AP是室内AP还是室外AP。

2. 配置限制和指导

同一AP的不同Radio下需要绑定具有相同环境标记的无线服务模板。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      创建无线服务模板。

wlan service-template service-template-name

(3)      配置Beacon帧和Probe Response帧携带区域码功能。

region-code-ie { disable | enable { any | indoor | outdoor } }

缺省情况下,Beacon帧和Probe Response帧中携带区域码信息并且环境标记为通用。

1.6  配置无线服务模板

1.6.1  创建无线服务模板

1. 功能简介

无线服务模板即一类无线服务属性的集合,如无线网络的SSID、认证方式(开放系统认证或者共享密钥认证)等。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      创建无线服务模板。

wlan service-template service-template-name

(3)      (可选)配置无线客户端从指定无线服务模板上线后所属的VLAN。

vlan vlan-id

缺省情况下,无线客户端从指定无线服务模板上线后将被加入到VLAN 1。

1.6.2  配置描述信息

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图。

wlan service-template service-template-name

(3)      配置无线服务模板的描述信息。

description text

缺省情况下,未配置无线服务模板的描述信息。

1.6.3  配置SSID

1. 功能简介

AP将SSID置于Beacon帧中向外广播发送。若BSS(Basic Service Set,基本服务集)的客户端数量已达到上限或BSS一段时间内不可用即客户端不能上线,不希望其它客户端上线,则可以配置SSID隐藏。若配置了SSID隐藏,AP不将SSID置于Beacon帧中,还可以借此保护网络免遭攻击。为了进一步保护无线网络,AP对于广播Probe Request帧也不会回复。此时客户端若想连接此BSS,则需要手工指定该SSID,这时客户端会直接向该AP发送认证及关联报文连接该BSS。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图。

wlan service-template service-template-name

(3)      配置SSID。

ssid ssid-name

缺省情况下,未配置SSID。

(4)      (可选)配置SSID隐藏。

beacon ssid-hide

缺省情况下,信标帧不隐藏SSID。

1.6.4  配置无线服务模板允许关联的最大客户端数目

1. 功能简介

配置无线服务模板上允许关联的最大客户端数目,可以防止无线服务模板上由于关联的客户端数量过多而过载。当无线服务模板上关联的客户端数达到允许关联的最大客户端数目,将不再接受新的客户端关联且SSID会自动隐藏。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图。

wlan service-template service-template-name

(3)      配置无线服务模板允许关联的最大客户端数目。

client max-count max-number

缺省情况下,不限制无线服务模板允许关联的最大客户端数目。

1.6.5  使能无线服务模板

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图。

wlan service-template service-template-name

(3)      开启无线服务模板。

service-template enable

缺省情况下,无线服务模板处于关闭状态。

1.6.6  绑定无线服务模板

1. 功能简介

无线服务模板跟AP的Radio存在多对多的映射关系,将无线服务模板绑定在某个AP的射频上,AP会根据射频上绑定的无线服务模板的无线服务属性创建无线服务BSS。BSS是提供无线服务的基本单元。在一个BSS的服务区域内(这个区域是指射频信号覆盖的范围),客户端能够相互通信。

绑定无线服务模板时,可以进行如下配置:

·              可以为该BSS指定一个VLAN组,该BSS下连接的客户端会被均衡地分配在VLAN组的所有VLAN中,既能将客户端划分在不同广播域中,又能充分利用不连续的地址段为客户端分配IP地址。

·              可以绑定NAS-Port-ID(Network Access Server Port Identifier,网络接入服务器端口标识)和NAS-ID(Network Access Server Identifier,网络接入服务器标识),用于网络服务提供商标识客户端的接入位置,区分流量来源。按照网络服务提供者的标准,不同的NAS-Port-ID对应不同的位置信息。

·              可以配置SSID隐藏。

2. 配置限制和指导

射频能绑定的最大无线服务模板的个数为16个。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入AP视图或AP组ap-model视图。

¡  进入AP视图。

wlan ap ap-name

¡  请依次执行以下命令进入APap-model视图。

wlan ap-group group-name

ap-model ap-model

(3)      进入Radio视图。

radio radio-id

(4)      绑定无线服务模板。

service-template service-template-name [ vlan vlan-id1 | vlan-group vlan-group-name ] [ ssid-hide ] [ nas-port-id nas-port-id ] [ nas-id nas-id ]

缺省情况下:

Radio视图:继承AP组Radio配置。

AP组Radio视图:未绑定无线服务模板。

1.6.7  配置AP不继承AP组下绑定的指定无线服务模板

1. 功能简介

AP会继承AP组下同型号AP对应的射频下绑定的服务模板,同时创建无线服务BSS。如果AP不需要或不需要全部继承AP组下绑定的无线服务模板,通过配置AP不继承AP组下绑定的指定无线服务模板,不对指定的无线服务模板进行继承。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入AP视图。

wlan ap ap-name

(3)      进入Radio视图。

radio radio-id

(4)      配置AP不继承AP组下绑定的指定无线服务模板。

inherit exclude service-template service-template-name

缺省情况下,AP继承AP组下绑定的无线服务模板。

1.7  配置客户端数据转发功能

1.7.1  配置客户端数据报文转发位置

1. 功能简介

可以在AC上将客户端数据报文转发位置配置在AC或者AP上。

·              将数据报文转发位置配置在AC上时,为集中式转发,客户端的数据流量由AP通过CAPWAP隧道透传到AC,由AC转发数据报文。

·              将数据报文转发位置配置在AP上时,为本地转发,客户端的数据流量直接由AP进行转发。将转发位置配置在AP上缓解了AC的数据转发压力。

·              将转发位置配置在AP上时,可以指定VLAN,即只有处于指定VLAN的客户端,在AP上转发其数据流量。

2. 配置限制和指导

若配置客户端数据报文转发位置在AC上,则需要保证客户端数据报文转发功能处于开启状态,否则配置不生效。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图。

wlan service-template service-template-name

(3)      配置客户端数据报文转发位置。

client forwarding-location { ac | ap [ vlan { vlan-start [ to vlan-end ] } ] }

缺省情况下,有关客户端的数据报文转发位置请参见命令手册中对应描述。

1.7.2  开启客户端数据报文转发功能

1. 功能简介

在分层AC架构下,如果客户端数据报文转发位置在AC(Central AC或Local AC)上,则建议在Central AC上关闭客户端数据报文转发功能,Local AC上开启此功能。当AP与管理员所指定的Local AC关联时,由Local AC转发客户端报文。如果指定的Local AC发生故障,AP将关联到Central AC上,由于Central AC上的客户端数据报文转发功能处于关闭状态,客户端数据报文的转发位置将自动迁移到AP上,从而保障Central AC对整个无线网络的管理性能。

有关分层AC的配置请参见“WLAN高级功能配置指导”中的“分层AC”。

2. 配置限制和指导

若指定了客户端数据报文转发位置在AC上,则必须开启此功能才能使得AC能够转发客户端数据报文;若指定了客户端数据报文转发位置在AP上,则此功能无效。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      开启客户端数据报文转发功能。

wlan client forwarding enable

缺省情况下,客户端数据报文转发功能处于开启状态。

1.7.3  配置客户端数据报文在CAPWAP隧道中的封装格式

1. 功能简介

集中式转发架构下,客户端的数据报文由AP通过CAPWAP隧道透传到AC。可以配置客户端数据报文封装在CAPWAP隧道中的格式为802.3或802.11格式,建议将客户端数据报文封装在CAPWAP中的格式为802.3格式,AC在收到客户端报文后不需要进行报文格式转换。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图。

wlan service-template service-template-name

(3)      配置客户端数据报文在CAPWAP隧道中的封装格式。

client frame-format { dot3 | dot11 }

缺省情况下,客户端数据报文在CAPWAP隧道中的封装格式为802.3格式。

1.7.4  配置对未知客户端数据报文处理方式

1. 功能简介

通过配置对未知客户端数据报文处理方式,可以选择设备在收到未知客户端发送的数据报文后,仅丢弃客户端发送的数据报文不作处理,或丢弃客户端发送的数据报文并向客户端发送解除认证报文通知客户端断开连接。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入服务模板视图。

wlan service-template service-template-name

(3)      配置对未知客户端数据报文处理方式。

unknown-client [ deauthenticate | drop ]

缺省情况下,丢弃未知客户端发送的数据报文并向客户端发送解除认证报文。

1.8  配置客户端管理功能

1.8.1  配置客户端关联位置

1. 功能简介

客户端关联位置在AC上时,客户端与AP关联的过程将由AC处理,管理报文通过CAPWAP隧道透传到AC。选择客户端关联位置在AC上具有安全和管理上的优势,但是当AC与AP之间的网络复杂,由于管理报文到达AC所需时间较长影响到关联过程时,建议将客户端关联位置配置在AP上,直接由AP处理客户端的关联过程。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图。

wlan service-template service-template-name

(3)      配置客户端关联位置。

client association-location { ac | ap }

缺省情况下,客户端的关联位置在AC上。

1.8.2  开启快速关联功能

1. 功能简介

如果WLAN环境中启动了负载均衡和频谱导航,客户端关联AP的效率将受到影响。对于不需要负载均衡和频谱导航功能或注重低延迟的网络服务,可以在无线服务模板下开启快速关联功能。无线服务模板开启快速关联功能后,即使AP上启动了负载均衡和频谱导航功能,也不会对该无线服务模板下接入的无线客户端进行频谱导航和负载均衡计算,从而让客户端可以快速的关联到AP上。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图。

wlan service-template service-template-name

(3)      开启快速关联功能。

quick-association enable

缺省情况下,快速关联功能处于关闭状态。

1.8.3  配置接收客户端信息的Web服务器信息

1. 功能简介

设备支持与特定第三方厂商的Web服务器通过HTTP协议传输客户端信息。配置Web服务器信息后,设备将与Web服务器建立HTTP连接,将关联客户端的信息(如客户端MAC地址、接入AP的MAC及接入时间等信息)发送给Web服务器,由服务器进行存储并由用户进行查看。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      配置接收客户端信息的Web服务器的域名和端口号。

wlan web-server host host-name port port-number

缺省情况下,未配置接收客户端信息的Web服务器的域名和端口号。

(3)      指定接收客户端信息的Web服务器的路径。

wlan web-server api-path path

缺省情况下,未指定接收客户端信息的Web服务器的路径。

(4)      (可选)配置设备一次向Web服务器上报客户端信息的最大数目。

wlan web-server max-client-entry number

缺省情况下,设备一次向Web服务器上报客户端信息的最大数目为10。

1.8.4  配置客户端上线日志的格式

1. 功能简介

客户端上线时,设备会自动生成客户端上线日志来记录该事件。客户端上线日志的格式有两种,格式不同,记录的内容不同。

·              H3C格式:日志内容为客户端上线的AP名称、Radio ID、客户端MAC地址、关联的SSID、BSSID及客户端的上线状态。

·              normal格式:日志内容为客户端上线的AP的MAC地址、AP名称、客户端IP地址、客户端MAC地址、关联的SSID及BSSID。

·              sangfor格式:日志内容为客户端上线的AP的MAC地址、客户端IP地址和客户端MAC地址。

缺省情况下,客户端上线时,设备会自动生成H3C格式的客户端上线日志。配置本功能后,设备在生成H3C格式日志的同时,还会生成normal格式或者sangfor格式的客户端上线日志。所有格式的客户端上线日志均会发送给设备的信息中心模块,由信息中心模块决定日志最终的输出方向。有关信息中心的详细介绍,请参见“设备管理配置指导”中的“信息中心”。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      配置客户端上线日志的格式。

customlog format wlan { normal | sangfor }

缺省情况下,仅输出H3C格式的客户端上线日志。

1.8.5  配置客户端的VLAN分配方式

1. 功能简介

客户端首次上线时,AP会为动态分配方式下的客户端随机分配无线服务模板绑定Radio时指定的VLAN组内的一个VLAN,根据客户端的MAC地址为静态分配、静态兼容分配方式下的客户端分配VLAN。客户端再次上线时被分配的VLAN将由配置的VLAN分配方式决定:

·              静态分配方式下,直接继承上次VLAN组分配的VLAN。若客户端的IP地址在租约内,仍为客户端分配同一个IP地址。采用该分配方式,可以减少IP地址的消耗。

·              动态分配方式下,VLAN组再次随机为客户端分配VLAN。采用该分配方式,客户端会被均衡地分配在VLAN组的所有VLAN中。

·              静态兼容分配方式下,可以保证客户端在采用静态分配方式的Comware V5 版本AC设备与ComwareV7版本的AC之间漫游时,被分配相同的VLAN。

2. 配置限制和指导

当客户端的VLAN分配方式为staticstatic-compatible时,修改VLAN组内的VLAN,会导致已在该VLAN上线的客户端再次上线时被分配到不同的VLAN。

当配置客户端的VLAN分配方式为dynamic时,修改VLAN组内的VLAN,仅对新上线的客户端生效。

客户端上线后,将客户端的VLAN分配方式从dynamic修改为staticstatic-compatible,该客户端再次上线时被分配到的VLAN可能和前一次分配到的VLAN不同。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图。

wlan service-template service-template-name

(3)      配置客户端的VLAN分配方式。

client vlan-alloc { dynamic | static | static-compatible }

缺省情况下,客户端的VLAN分配方式为动态分配方式。

1.8.6  配置客户端优先使用授权VLAN

1. 功能简介

客户端上线时,如果客户端进行漫游,由于授权VLAN的优先级高于漫游VLAN,此时如果iMC安全策略服务器配置了安全策略,客户端执行了iMC安全策略中对其的限制操作进而触发安全告警时,iMC安全策略服务器重新下发的用于隔离客户端的授权VLAN将生效。例如,iMC安全策略服务器设置了一个安全策略,不允许使用客户端的计算器功能。如果打开计算器功能就会触发安全告警,iMC安全策略服务器重新下发的授权VLAN将生效。

关闭本功能后,漫游VLAN的优先级将高于授权VLAN的优先级当iMC安全策略服务器对客户端下发授权VLAN时,授权VLAN不生效。

2. 配置限制和指导

AC为客户端选择VLAN的优先级从高到低依次为:授权VLAN(授权服务器下发的VLAN或者iMC安全策略服务器下发的VLAN)、漫游VLAN(漫游表项中记录的VLAN)、初始VLAN(无线服务模板绑定的VLAN)。

在AC上配置客户端优先使用授权VLAN功能后,当客户端需要进行AC间漫游时,为了保障漫游功能的实现,漫游组内的其他AC均需要开启本功能。

该配置只对采用802.1X或MAC地址认证方式上线的无线客户端生效。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图。

wlan service-template service-template-name

(3)      配置客户端优先使用授权VLAN。

client preferred-vlan authorized

缺省情况下,授权VLAN的优先级高于漫游VLAN的优先级。

1.8.7  关闭仅本地认证无线客户端信息上报成功才允许客户端上线功能

1. 功能简介

对于本地认证的无线客户端,客户端认证完成后,AP会上报客户端信息给AC,由AC创建客户端表项并通知AP允许客户端上线。若CAPWAP隧道异常,AP将无法成功向AC上报客户端信息,导致客户端无法上线,且在CAPWAP隧道恢复正常之前,客户端会反复进行认证,尝试上线。

为避免客户端频繁进行认证,可关闭仅本地认证无线客户端信息上报成功才允许客户端上线功能,允许通过本地认证的客户端在AP上线,此时AP可以为客户端转发数据并提供接入功能。当CAPWAP隧道恢复正常后,AP会同步已上线客户端信息给AC。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线服务器模板视图。

wlan service-template service-template-name

(3)      关闭仅本地认证无线客户端信息上报成功才允许客户端上线功能。

undo client report-mandatory

缺省情况下,仅本地认证无线客户端信息上报成功才允许客户端上线功能处于开启状态。

1.8.8  配置客户端Cache老化时间

1. 功能简介

无线客户端Cache记录了客户端的PMK列表、接入VLAN以及其他授权信息。无线客户端断开连接之后,如果在客户端Cache老化时间内再次成功关联AP,则可继承Cache记录的各种授权信息,实现快速漫游。如果客户端离线时间超过了老化时间,系统会自动清除该客户端的Cache。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图。

wlan service-template service-template-name

(3)      配置客户端Cache老化时间。

client cache aging-time aging-time

缺省情况下,无线客户端Cache的老化时间为180秒。

1.8.9  配置客户端二次接入认证的时间间隔

1. 功能简介

客户端二次接入认证的时间间隔是指客户端通过802.1X认证或MAC地址认证(包括通过URL重定向功能完成MAC地址认证)后,RADIUS服务器强制客户端下线到再次对其进行认证的时间间隔。

配置了客户端二次接入认证的时间间隔之后,设备将已通过认证的客户端的MAC地址加入到动态黑名单中,并在指定的时间间隔内禁止客户端接入。通过此方式加入动态黑名单的MAC地址不受动态黑名单老化时间的影响。

如果在该时间间隔内使用reset wlan dynamic-blacklist命令清除动态黑名单,则设备将允许该客户端接入并进行认证。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      配置客户端二次接入认证的时间间隔。

wlan client reauthentication-period [ period-value ]

缺省情况下,客户端二次接入认证的时间间隔为10秒。

1.8.10  配置无线客户端区别计费功能

1. 功能简介

无线客户端区别计费功能是指,对无线客户端的上网流量基于不同的计费级别进行分别计费,该功能是通过对在线用户授权User Profile,并在User Profile中指定计费级别的计费策略来实现的,具体机制如下:

·              客户端认证位置在AC上时,认证服务器会将客户端账户绑定的User Profile名称下发给AC,由AC再将User Profile下发给AP,AP根据指定User Profile下应用的计费策略对客户端进行流量统计并将数据上报给AC,AC最终将数据上报给计费服务器进行计费。

·              客户端认证位置在AP上时,认证服务器会将客户端账户绑定的User Profile名称下发给AP,AP根据指定User Profile下应用的计费策略对客户端进行流量统计并将数据上报给计费服务器进行计费。

如果User Profile下没有应用计费策略,则采用AAA进行计费。

2. 配置限制和指导

修改或删除User Profile下应用的计费策略后,再次认证或新认证上线的客户端将使用新的计费策略。

3. 配置准备

认证服务器上为无线客户端用户绑定了需要下发的User Profile名称。

4. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入计费策略视图。

wlan accounting-policy policy-name

(3)      指定需要进行计费的流量计费级别。

accounting-level level acl { acl-number | ipv6 ipv6-acl-number }

缺省情况下,未指定需要进行计费的流量计费级别。

(4)      退回系统视图。

quit

(5)      进入User Profile视图。

user-profile profile-name

(6)      在User Profile下应用计费策略。

wlan apply accounting-policy policy-name

缺省情况下,User Profile下未应用计费策略。

1.8.11  开启网络侧设备的漫游增强功能

1. 功能简介

图1-8所示,在AGV(Automated Guided Vehicle,自动导引运输车)无线网络中,网络系统由网络侧设备和车载侧设备两部分组成。网络侧设备为AC+FIT AP架构,FIT AP通过绑定了指定SSID对应的服务模板的5G射频为车载侧工作在Client模式的FAT AP提供无线接入服务,车载侧工作在Client模式的FAT AP为没有安装无线网卡的设备提供公共无线网卡功能。FAT AP的Client模式的详细介绍请参见FAT AP产品“WLAN接入配置指导”中的“Client模式”。

图1-8 开启网络侧设备的漫游增强功能

 

2. 配置限制和指导

本功能只能在网络侧FIT AP设备的2.4G射频下配置,多次执行本命令,最后一次执行的命令生效。

配置本功能时,绑定指定SSID对应的服务模板的5G射频不能工作在雷达信道。建议手工配置非雷达信道或者配置自动信道以及信道黑白名单。

仅当AP的5G射频绑定指定SSID对应的服务模板后,漫游增强功能才会生效。

AP的5G射频最多只能绑定指定SSID对应的5个不同服务模板。

配置漫游增强功能后,绑定指定SSID的服务模板的5G射频不要用作业务扫描射频,否则会导致报文丢包数量增加,影响漫游效果。

使用本功能时,车载侧Client模式FAT AP和网络侧AC设备上都需要开启漫游增强功能。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入AP视图或AP组ap-model视图。

¡  进入AP视图。

wlan ap ap-name

¡  请依次执行以下命令进入AP组ap-model视图。

wlan ap-group group-name

ap-model ap-model

(3)      进入Radio视图。

radio radio-id

(4)      开启漫游增强功能并指定漫游增强的SSID。

roam-enhance ssid ssid

缺省情况下:

¡  Radio视图:继承AP组Radio配置。

¡  AP组Radio视图:漫游增强功能处于关闭状态。

1.8.12  开启无线客户端智能接入功能

1. 功能简介

开启无线客户端智能接入功能后,可以在仅创建无线服务模板或身份认证与密钥管理模式配置为PSK的情况下,自动将我司配套的无线客户端接入到无线网络。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图。

wlan service-template service-template-name

(3)      开启无线客户端智能接入功能。

client smart-access enable

缺省情况下,无线客户端智能接入功能处于关闭状态。

1.9  配置客户端维护功能

1.9.1  配置客户端空闲时间

1. 功能简介

客户端空闲时间,是指AP与客户端成功连接后,客户端与AP无任何报文交互的状态的最大时间,当达到最大空闲时间时,AP会自动与客户端断开连接。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入AP视图或AP组视图。

¡  进入AP视图。

wlan ap ap-name

¡  进入AP组视图。

wlan ap-group group-name

(3)      配置客户端空闲时间。

client idle-timeout interval

缺省情况下:

AP视图:继承AP组配置。

AP组视图:AP和客户端之间连接允许的最大空闲时间为3600秒。

1.9.2  配置客户端保活功能

1. 功能简介

开启客户端保活功能后,AP每隔保活时间向客户端发送空数据报文,以确认其是否在线。若在三个保活时间内未收到客户端回应应答报文或数据报文,则AP断开与客户端的连接。若在此期间内收到,则认为客户端在线。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入AP视图或AP组视图。

¡  进入AP视图。

wlan ap ap-name

¡  进入AP组视图。

wlan ap-group group-name

(3)      开启客户端保活功能。

client keep-alive enable

缺省情况下:

AP视图:继承AP组配置。

AP组视图:客户端保活功能处于关闭状态。

(4)      (可选)配置客户端保活时间。

client keep-alive interval value

缺省情况下:

AP视图:继承AP组配置。

AP组视图:客户端保活时间为300秒。

1.9.3  对客户端进行无线链路质量测量

1. 功能简介

无线链路质量检测,即AP根据客户端上线时协商的速率集,以每个速率发送5个空数据报文进行链路质量检测。AP根据客户端的响应报文可以获取AP客户端之间的无线链路质量信息,如信号强度、报文重传次数、RTT(Round-Trip Time,往返时间)等。

无线链路质量检测的超时时间为10秒,如果AP在超时时间内没有完成链路质量检测,将无法得到链路质量检测结果。

2. 配置步骤

请在用户视图下执行本命令,对客户端进行链路质量测量。

wlan link-test mac-address

1.9.4  配置AP上报无线客户端统计信息功能

1. 功能简介

为了对无线客户端的状态进行有效的监控,通过开启本功能,由AP周期性的向AC上报客户端统计信息。AC接收到客户端统计信息后会对本地客户端表项进行更新,未与本地客户端表项匹配上的客户端将被强制下线。

当用户网络状况较差时,请关闭本功能,AP会停止上报客户端统计信息且AC不会更新本地客户端表项,客户端正常在线。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入AP视图或AP组视图。

¡  进入AP视图。

wlan ap ap-name

¡  进入AP组视图。

wlan ap-group group-name

(3)      配置AP向AC上报无线客户端统计信息功能。

client-statistics-report { disable | enable [ interval interval ] }

缺省情况下:

AP视图:继承AP组配置。

AP组视图:AP向AC上报无线客户端统计信息功能处于开启状态。

1.9.5  配置AP上报无线客户端智能运维统计信息功能

1. 功能简介

开启本功能后,AP会按client-statistics-report命令配置的时间间隔周期性的向AC上报无线客户端智能运维统计信息,AC会将统计信息上报给绿洲平台,用户可以在绿洲平台智能运维页面查看上报的无线客户端相关统计信息。当用户网络状况较差时,请关闭本功能,AP将停止上报无线客户端智能运维统计信息且AC不再向绿洲上报该部分统计信息。

2. 配置限制和指导

VIP客户端功能需要使用到部分无线客户端智能运维统计信息,因此当使用VIP客户端功能时,本功能需要处于开启状态。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入AP视图或AP组视图。

¡  进入AP视图。

wlan ap ap-name

¡  进入AP组视图。

wlan ap-group group-name

(3)      开启AP向AC上报无线客户端统计信息功能。

client-statistics-report smart-maintenance enable

缺省情况下:

AP视图:继承AP组配置。

AP组视图:AP向AC上报无线客户端智能运维统计信息功能处于开启状态。

1.9.6  配置网络接入服务器标识

1. 功能简介

NAS-ID、NAS-Port-ID和NAS-VLAN-ID(Network Access Server VLAN Identifier,网络接入服务器VLAN标识)主要用于网络服务提供商标识客户端的接入位置,区分流量来源。

2. 配置限制和指导

如果在配置无线服务模板时绑定了NAS-ID/NAS-Port-ID,则优先使用无线服务模板绑定的NAS-ID/NAS-Port-ID。

当使用某特定第三方厂商的SAM(Security Accounting Management,安全审计管理)服务器作为RADIUS服务器时,需要在我司设备上配置NAS-VLAN-ID,以便SAM服务器使用该VLAN ID定位客户端位置。

如果同时配置了wlan nas-port-id formatnas-port-id,则以nas-port-id命令配置的为准。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      配置无线客户端的NAS-Port-ID属性的格式。

wlan nas-port-id format { 2 | 4 }

缺省情况下,NAS-Port-ID的消息格式为格式2。

(3)      进入AP视图、AP组视图或全局配置视图。

¡  进入AP视图。

wlan ap ap-name

¡  进入AP组视图。

wlan ap-group group-name

¡  进入全局配置视图。

wlan global-configuration

(4)      配置网络接入服务器标识。

nas-id nas-id

缺省情况下:

AP视图:AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置。

AP组视图:继承全局配置。

全局配置视图:未配置网络接入服务器标识。

(5)      配置网络接入服务器端口标识。

nas-port-id nas-port-id

缺省情况下:

AP视图:AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置。

AP组视图:继承全局配置。

全局配置视图:未配置网络接入服务器标识。

(6)      配置网络接入服务器的VLAN ID。

nas-vlan vlan-id

缺省情况下,未配置网络接入服务器的VLAN ID,即AC向RADIUS服务器发送的请求认证报文中未携带NAS-VLAN-ID字段。

仅AP视图下支持配置此功能。

1.9.7  配置NAS-Port-Type

1. 功能简介

RADIUS标准属性NAS-Port-Type用于表示用户接入的端口类型。

缺省情况下,无线服务模板上有802.1X或者MAC地址认证用户上线时,设备向RADIUS服务器发送的RADUIS请求报文中填充的为自动获取到的NAS-Port-Type属性值WLAN-IEEE 802.11。若无线服务模板配置了NAS-Port-Type,则使用本命令配置的值填充该属性。

2. 配置限制和指导

本命令只能在无线服务模板关闭的状态下配置。

对于要使用RADIUS服务器进行802.1X或者MAC地址认证的用户,需要通过本命令将RADIUS请求报文的NAT-Port-Type类型配置为RADIUS服务器支持的类型。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图。

wlan service-template service-template

(3)      配置NAS-Port-Type。

nas-port-type value

缺省情况下,设备发送的RADIUS请求报文中的NAS-Port-Type属性值为19。

1.9.8  配置客户端关联AP的优化参数值

1. 功能简介

关联成功率是指客户端关联AP成功的次数占客户端关联AP的总次数的百分比。关联拥塞率是指在AP满载的情况下,客户端在关联AP过程中被拒绝的次数占关联AP的总次数的百分比。终端异常下线率是指终端异常断开连接的总次数占终端关联成功的总次数与当前在线用户总数之和的百分比。

配置本特性后,设备会重新对客户端关联AP的关联成功率、关联拥塞率以及终端异常下线率进行优化计算。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      配置客户端关联AP的关联成功率、关联拥塞率以及终端异常下线率的优化参数值。

wlan association optimization value

缺省情况下,客户端关联AP的关联成功率、关联拥塞率以及终端异常下线率的优化参数值为0,即不对客户端关联AP的关联成功率、关联拥塞率以及终端异常下线率进行优化,采用实际值。

1.9.9  配置iMC服务器的IP地址和端口号

1. 功能简介

配置iMC服务器的IP地址和端口号后,设备可以将AP上下线、客户端上下线以及Portal认证用户上下线等消息同步到iMC服务器,用户可以在iMC业务软件上查看到相关信息。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      配置iMC服务器的IP地址和端口号。

wlan imc ip ip-address port port-number

缺省情况下,未配置iMC服务器的IP地址和端口号。

1.10  配置VIP客户端功能

1.10.1  配置VIP客户端监控功能

1. 功能简介

VIP客户端组为被监控客户端的集合,用户可以通过绿洲平台VIP客户端监控页面查看添加到VIP客户端组中的上线客户端信息。

2. 配置限制和指导

最多可以添加64个客户端到VIP客户端组。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      创建VIP客户端组,并进入VIP客户端组视图。

wlan vip-client-group

(3)      添加客户端到VIP客户端组。

client-mac mac-address

缺省情况下,VIP客户端组中无客户端。

(4)      (可选)配置AP向AC上报VIP客户端信息的时间间隔。

report-interval interval

缺省情况下,AP向AC上报VIP客户端信息的时间间隔为50秒。

1.10.2  开启非VIP客户端限速功能

1. 功能简介

通过开启非VIP客户端限速功能,当射频接口下有VIP终端上线时,该接口下的非VIP客户端的速率会被限制;当接口上没有VIP终端在线时,该接口下的非VIP客户端的速率不会被限制。

2. 配置限制和指导

可以同时指定出方向和入方向的速率限制。

同时配置非VIP客户端限速功能和基于射频的客户端限速功能时,仅会对非VIP客户端进行限速,不会对VIP客户端进行限速。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      创建VIP客户端组,并进入VIP客户端组视图。

wlan vip-client-group

(3)      配置非VIP客户端的限速速率。

non-vip limit rate { inbound | outbound }  [ mode { dynamic [ min min-cir ] [ max max-cir ] | static } ] cir cir

缺省情况下,非VIP客户端限速功能处于关闭状态。

1.11  配置无线转发策略

1.11.1  配置限制和指导

配置无线转发策略,AC和AP必须处于不同网段中。

当无线服务模板和User Profile下均应用无线转发策略时,设备优先使用User Profile下应用的无线转发策略对客户端数据进行处理。如果上线用户的User Profile下没有应用无线转发策略,则设备将使用无线服务模板下的无线转发策略处理客户端数据。

1.11.2  配置准备

应用无线转发策略前,请使用client-security authentication-location命令将无线用户的接入认证位置配置在AC上,此时无线转发策略才能生效。关于用户接入认证位置的介绍和配置,请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”。

1.11.3  创建无线转发策略

1. 功能简介

无线转发策略由一条或多条无线转发规则组成,每条无线转发规则中包含匹配报文特征的规则及采取的转发方式。匹配报文特征的规则可以为基本ACL、高级ACL和二层ACL,可选择的转发方式包括本地转发和集中转发。无线转发策略仅识别ACL规则中的匹配条件,不识别允许和拒绝操作,即只要是匹配条件的报文,无论在ACL规则中是被允许还是被拒绝,都会被按转发策略处理。

有关ACL的详细介绍,请参见“安全配置指导”中的“ACL”。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      创建无线转发策略,并进入无线转发策略视图。

wlan forwarding-policy policy-name

(3)      配置无线转发规则。

classifier acl { acl-number | ipv6 ipv6-acl-number } behavior { local | remote }

重复执行该命令可以创建多条无线转发规则。

1.11.4  开启本地转发模式下的外网流量转发功能

1. 功能简介

本功能主要用于客户端需要访问外网,但客户端数据报文转发位置又在AP上的场景。开启本功能后,设备会将客户端数据报文中的目的地址替换成AP的MAC地址,再通过NAT地址转换功能,将客户端数据报文的源地址自动转换成和AP同网段的IP地址。完成以上配置后,客户端可以正常访问外网,否则,访问外网的报文将被AP丢弃。

2. 配置限制和指导

本功能需要与支持NAT功能的AP配合使用。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线转发策略视图。

wlan forwarding-policy policy-name

(3)      开启本地转发模式下的外网流量转发功能。

client behavior-local network-flow-forwarding enable

缺省情况下,本地转发模式下的外网流量转发功能处于关闭状态。

1.11.5  在无线服务模板下应用无线转发策略

(1)      进入系统视图。

system-view

(2)      进入服务模板视图。

wlan service-template service-template-name

(3)      在无线服务模板下应用无线转发策略。

client forwarding-policy-name policy-name

缺省情况下,没有应用无线转发策略。

应用无线转发策略后,请开启无线转发策略功能。

(4)      开启无线转发策略功能。

client forwarding-pollicy enable

缺省情况下,无线转发策略功能处于关闭状态。

1.11.6  在User Profile下应用无线转发策略

1. 功能简介

在User Profile下应用无线转发策略后,当客户端准备接入网络并通过身份认证后,认证服务器会将与客户端账户绑定的User Profile名称下发给AC,AC根据指定User Profile下应用的无线转发策略对客户端数据报文进行转发。

2. 配置限制和指导

修改或删除User Profile下应用的无线转发策略时,该配置会在客户端再次上线时生效。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入User Profile视图。

user-profile profile-name

(3)      在User Profile下应用无线转发策略。

wlan client forwarding-policy-name policy-name

缺省情况下,没有应用无线转发策略。

应用无线转发策略后,请开启无线转发策略功能。

(4)      退回系统视图。

quit

(5)      进入服务模板视图。

wlan service-template service-template-name

(6)      开启无线转发策略功能。

client forwarding-pollicy enable

缺省情况下,无线转发策略功能处于关闭状态。

1.12  配置客户端接入控制功能

1.12.1  配置允许用户接入的AP

1. 功能简介

通过配置允许用户接入的AP组,让用户只能够在指定AP组内的AP上接入,控制用户在无线网络中接入位置。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入User Profile视图。

user-profile profile-name

(3)      配置允许用户接入的AP组。

wlan permit-ap-group ap-group-name

缺省情况下,未配置允许用户接入的AP组。

1.12.2  配置允许用户接入的SSID名称

1. 功能简介

在用户需要接入网络时,可通过指定允许用户接入的SSID控制用户只能在指定的SSID接入。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入User Profile视图。

user-profile profile-name

(3)      配置SSID用户接入控制。

wlan permit-ssid ssid-name

缺省情况下,未配置允许用户接入的SSID名称。

1.12.3  配置白名单

1. 配置限制和指导

第一次配置白名单时,系统会提示用户是否解除与所有在线客户端的关联,如果选择解除关联,才能配置白名单,否则不能配置白名单。当删除白名单中所有客户端时,则不存在白名单。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      配置白名单。

wlan whitelist mac-address mac-address

1.12.4  配置静态黑名单

1. 配置限制和指导

同一MAC地址表项不能同时配置到白名单中和静态黑名单中。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      配置静态黑名单。

wlan static-blacklist mac-address mac-address

1.12.5  配置动态黑名单

1. 功能简介

当配置了客户端二次接入认证的时间间隔或者AP收到客户端的攻击报文时,AC会将该客户端的MAC地址添加到动态黑名单中:

·              配置动态黑名单基于AP生效,AP将拒绝该客户端的接入,但仍可以从AC下的其他AP接入。

·              配置动态黑名单基于AC生效,AC下相连的所有AP都将拒绝该客户端接入。

动态黑名单表项具有一定的老化时间。当到达老化时间时,AC会将MAC地址从动态黑名单中删除。

2. 配置限制和指导

在AP部署较密集的无线网络环境下,建议用户配置动态黑名单基于AC生效。

新配置的动态黑名单老化时间只对新加入动态黑名单的客户端生效。

若客户端同时存在于白名单和动态黑名单中时,则白名单生效。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      配置动态黑名单。请选择其中一项进行配置。

¡  配置动态黑名单基于AP生效。

wlan dynamic-blacklist active-on-ap

¡  配置动态黑名单基于AC生效。

undo wlan dynamic-blacklist active-on-ap

缺省情况下,动态黑名单基于AP生效。

(3)      (可选)配置动态黑名单表项的老化时间。

wlan dynamic-blacklist lifetime lifetime

缺省情况下,动态黑名单表项的老化时间为300秒。

1.12.6  配置基于ACL的接入控制

1. 配置限制与指导

基于ACL的接入控制的优先级高于基于名单的接入控制的优先级,建议两种接入控制单独使用。如果同时配置了两种接入控制,当设备上没有配置无线客户端访问控制规则时,按照基于名单的接入控制规则对无线客户端进行访问控制。

在ACL中配置deny规则来拒绝指定客户端接入时,请在deny规则之后配置允许所有客户端接入的permit规则,否则会导致所有客户端无法接入。

AP视图下配置的优先级高于无线服务模板视图下的配置。

基于ACL的接入控制只匹配source mac地址二层ACL规则。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入无线服务模板视图或AP视图。

¡  进入无线服务模板视图。

wlan service-template service-template-name

¡  进入AP视图。

wlan ap ap-name

(3)      配置基于ACL的接入控制。

access-control acl acl-number

缺省情况下,未配置基于ACL的接入控制。

基于ACL的接入控制只能引用二层ACL规则。

1.13  配置AP不回应客户端广播Probe request报文

1. 功能简介

广播Probe request报文即报文中不携带无线服务的SSID,AP收到广播报文后,将AP提供的所有服务的信息封装在Probe reponse报文中,回应给客户端。可以配置不回应客户端的广播Probe request报文,可以减少AP回应的Probe response报文,并使发送携带SSID的Probe request报文的客户端更容易接入无线网络。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入AP视图或AP组视图。

¡  进入AP视图。

wlan ap ap-name

¡  进入AP组视图。

wlan ap-group group-name

(3)      配置AP不回应广播Probe request报文。

broadcast-probe reply disable

缺省情况下:

AP视图:继承AP组配置。

AP组视图:AP回应广播Probe request报文。

1.14  开启告警功能

1. 功能简介

开启了告警功能之后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。(有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。)

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      开启告警功能。请至少选择其中一项进行配置。

¡  开启客户端的告警功能。

snmp-agent trap enable wlan client

¡  开启客户端审计的告警功能。

snmp-agent trap enable wlan client-audit

缺省情况下,客户端告警功能处于关闭状态。

1.15  WLAN接入显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN接入的运行情况,通过查看显示信息验证配置效果。

在用户视图下执行reset命令可以清除动态黑名单或断开AP与客户端的连接。

表1-1 WLAN接入显示和维护

操作

命令

显示AP上2.4GHz及5GHz频段的在线客户端数量

display wlan ap all client-number

显示AP的所有Radio接口下在线客户端数量和信道信息

display wlan ap all radio client-number

显示AP的区域码信息

display wlan ap { all | name ap-name } region-code

显示所有AP组内在线客户端数量

display wlan ap-group all client-number

显示黑名单

display wlan blacklist { dynamic | static }

显示BSS(Basic Service Set,基本服务集)信息

display wlan bss { all | ap ap-name | bssid bssid } [ verbose ]

显示客户端的信息

display wlan client [ ap ap-name [ radio radio-id ] | mac-address mac-address | service-template service-template-name | frequency-band { 2.4 | 5 } | vlan vlan-id ] [ verbose ]

显示客户端的IPv6地址信息

display wlan client ipv6

显示客户端在线时长

display wlan client online-duration [ ap ap-name ] [ verbose ]

显示客户端状态信息

display wlan client status [ mac-address mac-address ] [ verbose ]

显示无线转发策略信息

display wlan forwarding-policy

显示无线服务模板信息

display wlan service-template [ service-template-name ] [ verbose ]

查看无线客户端的统计信息

display wlan statistics client [ mac-address mac-address ]

查看客户端连接历史信息

display wlan statistics connect-history { ap { all | name ap-name } | service-template service-template-name }

查看无线服务模板的统计信息

display wlan statistics service-template service-template-name

显示AP向AC上报的VIP客户端的统计信息

display wlan statistics vip-client

显示白名单

display wlan whitelist

断开与客户端的连接

reset wlan client { all | mac-address mac-address }

清除动态黑名单

reset wlan dynamic-blacklist [ mac-address mac-address ]

清除无线客户端的统计信息

reset wlan statistics client { all | mac-address mac-address }

清除无线服务模板的统计信息

reset wlan statistics service-template service-template-name

 

1.16  WLAN接入典型配置举例

1.16.1  WLAN接入配置举例

1. 组网需求

·              AP通过交换机与AC相连。在Switch上开启DHCP server功能,为AP和客户端分配IP地址。

·              使用手工输入序列号方式输入序列号。AP提供SSID为trade-off的无线接入服务。

2. 组网图

图1-9 无线接入组网图

 

 

3. 配置步骤

(1)      配置IP地址

# 创建VLAN 100,并配置VLAN 100接口的IP地址。

<AC> system-view

[AC] vlan 100

[AC-vlan100]quit

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ip address 10.1.9.58 16

(2)      创建手工AP

# 创建手工AP,名称为ap1,选择AP型号并配置序列号。

[AC] wlan ap ap1 model WA4320i-ACN

[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454

(3)      创建无线服务模板,并将无线服务模板绑定到AP的Radio接口。

# 配置无线服务模板service1,配置SSID为trade-off,配置客户端从无线服务模板service1上线后将被加入到VLAN 100,并开启服务模版。

<AC> system-view

[AC] wlan service-template service1

[AC-wlan-st-service1] ssid trade-off

[AC-wlan-st-service1] vlan 100

[AC-wlan-st-service1] service-template enable

[AC-wlan-st-service1] quit

# 配置射频,指定工作信道为157。

[AC] wlan ap ap1

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] channel 157

# 将无线服务模板service1绑定到Radio 1接口。

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] service-template service1

4. 验证配置

(1)      配置完成后,在AC上执行display wlan service-template命令,可以看到所有已经创建的无线服务模板。无线服务模板service1的SSID为trade-off,无线服务模板已经使能,其它配置项都使用缺省值。

[AC] display wlan service-template verbose

Service template name          : service1

Description                    : Not configured

SSID                           : trade-off

SSID-hide                      : Disabled

User-isolation                 : Disabled

Service template status        : Enabled

Maximum clients per BSS        : 64

Frame format                   : Dot3

Seamless roam status           : Disabled

Seamless roam RSSI threshold   : 50

Seamless roam RSSI gap         : 20

VLAN ID                        : 100

AKM mode                       : Not configured

Security IE                    : Not configured

Cipher suite                   : Not configured

TKIP countermeasure time       : 0 sec

PTK life time                  : 43200 sec

PTK rekey                      : Enabled

GTK rekey                      : Enabled

GTK rekey method               : Time-based

GTK rekey time                 : 86400 sec

GTK rekey client-offline       : Disabled

WPA3 status                    : Disabled

User authentication mode       : Bypass

Intrusion protection           : Disabled

Intrusion protection mode      : Temporary-block

Temporary block time           : 180 sec

Temporary service stop time    : 20 sec

Fail VLAN ID                   : 1

Critical VLAN ID               : Not configured

802.1X handshake               : Enabled

802.1X handshake secure        : Disabled

802.1X domain                  : my-domain

MAC-auth domain                : Not configured

Max 802.1X users per BSS       : 4096

Max MAC-auth users per BSS     : 4096

802.1X re-authenticate         : Enabled

Authorization fail mode        : Online

Accounting fail mode           : Online

Authorization                  : Permitted

Key derivation                 : N/A

PMF status                     : Disabled

Hotspot policy number          : Not configured

Forwarding policy status       : Disabled

Forwarding policy name         : Not configured

Forwarder                      : AC

FT status                      : Disabled

QoS trust                      : Port

QoS priority                   : 0

(2)      MAC地址为0023-8933-223b的客户端可以连接无线网络名称为trade-off的无线网络。在AC上执行display wlan client命令,可以看到所有连接成功的客户端。

[AC] display wlan client service-template service1

Total number of clients: 1

 

MAC address       Username   AP name    RID   IP address      VLAN

0023-8933-223b    N/A        ap1        1     3.0.0.3         100

1.16.2  白名单配置举例

1. 组网需求

AC和AP通过交换机连接,通过将客户端的MAC地址0000-000f-1211加入到白名单中,仅允许该客户端接入无线网络,拒绝其它客户端接入无线网络。

2. 组网图

图1-10 白名单配置组网图

 

3. 配置步骤

# 将客户端的MAC地址0000-000f-1211添加到白名单。

<AC> system-view

[AC] wlan whitelist mac-address 0000-000f-1211

4. 验证配置

配置完成后,在AC上执行display wlan whitelist命令,可以看到AC已经将客户端的MAC地址表项加入到白名单。

[AC] display wlan whitelist

Total number of clients: 1

 MAC addresses:

  0000-000f-1211

1.16.3  静态黑名单配置举例

1. 组网需求

AC和AP通过交换机连接,客户端为已知非法客户端,通过将客户端的MAC地址0000-000f-1211加入到静态黑名单中,拒绝该客户端接入无线网络。

2. 组网图

图1-11 静态黑名单配置组网图

 

3. 配置步骤

# 将客户端的MAC地址0000-000f-1211添加到静态黑名单。

<AC> system-view

[AC] wlan static-blacklist mac-address 0000-000f-1211

4. 验证配置

配置完成后,在AC上执行display wlan blacklist static命令,可以看到AC已经将客户端的MAC地址表项加入到静态黑名单。

[AC] display wlan blacklist static

Total number of clients: 1

 MAC addresses:

  0000-000f-1211

1.16.4  ACL接入控制配置举例

1. 组网需求

AC和AP通过交换机连接,如图1-12所示,通过配置基于ACL的接入控制规则,实现仅匹配上MAC地址规则及OUI规则的客户端可以接入无线网络,其他客户端无法接入无线网络的目的。

2. 组网图

图1-12 ACL接入控制配置组网图

 

3. 配置步骤

# 将Client 1和Client 2分别按照MAC地址匹配规则及OUI匹配规则添加到ACL 4000中。

<Sysname> system-view

[Syname] acl mac 4000

[Syname-acl-mac-4000] rule 0 permit source-mac 0000-000f-1121 ffff-ffff-ffff

[Syname-acl-mac-4000] rule 1 permit source-mac 000e-35b2-000e ffff-ff00-0000

[Syname-acl-mac-4000] quit

# 在无线服务模板service1上应用ACL 4000。

[Syname] wlan service service1

[Sysname-wlan-st-service1] access-control acl 4000

4. 验证实现

配置完成之后,在AC上执行display wlan client命令,可以看到除Client 1及匹配上OUI规则的客户端(包括但不限于Client 2)可以接入无线网络外,其它客户端均无法接入无线网络。

[AC] display wlan client

Total number of clients: 2

 

MAC address    Username         AP name       RID   IPv4 address        VLAN

0000-000f-1121 N/A              ap           1      192.168.100.12      1

000e-35b2-000e N/A              ap           1      192.168.100.13      1

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们